Botnetz drei Monate abgeklemmt
Immer noch viele Rustock-infizierte Rechner
Mitte März hat Microsoft die Server des Rustock-Botnetzes abklemmen lassen. Doch noch immer sind schätzungsweise 700.000 Rechner am Netz, die mit dem Rustock-Bot infiziert sind und im Prinzip jederzeit reaktivierbar wären.
Bei der so genannten "Operation b107" hat Microsoft im März per richterlicher Anordnung die Server des wohl größten Spam-Botnetzes "Rustock" vom Netz nehmen lassen. Das Spam-Aufkommen ist seitdem so niedrig wie lange nicht mehr. Die infizierten Zombie-PCs, die von ihren Mutterschiffen getrennt wurden, sind jedoch bislang nur zum Teil bereinigt worden. Microsoft hat nun erstmals Daten zur Lage veröffentlicht.
Nach Angaben von Richard Boscovich, leitender Anwalt in Microsofts Digital Crimes Unit (DCU), im offiziellen Microsoft-Blog hat sich die Größe des Botnetzes in den drei Monaten nach dem Abklemmen der Server etwa halbiert. Wurden Mitte März um die 1,6 Millionen fremdgesteuerte Zombie-Rechner ermittelt, sollen es Mitte Juni noch etwa 700.000 sein.
Die meisten Rustock-verseuchten Rechner, etwa 99.000, stehen nach wie vor in Indien, obwohl dort fast 70 Prozent der Infektionen beseitigt werden konnten. Ähnlich hohe Erfolgsquoten meldet Microsoft aus Russland. In den USA, wo die meisten der Rustock-Server standen, ist die Zahl der Zombies von 86.000 auf 55.000 reduziert worden. Deutschland ist in der Infektionsrangliste von Platz 8 im März auf den sechsten Platz vorgerückt. Von den 43.000 Rustock-infizierten Rechnern sind noch etwa 25.000 übrig.
Da es in den meisten Ländern rechtlich nicht möglich ist die infizierten Rechner zwangsweise zu bereinigen, bleiben die Versuche die Zahlen weiter zu drücken Stückwerk. Microsofts "Tool zum Entfernen bösartiger Software" hat seinen Beitrag dazu geleistet, ebenso wie Antivirus-Software namhafter Hersteller. Doch letztlich bleibt es den Besitzern der Rechner überlassen die Infektionen zu beseitigen.
Zwar ist es eher unwahrscheinlich, dass es Online-Kriminellen gelingen wird das Botnetz wieder zu reanimieren, doch die infizierten Rechner stellen auch so ein Gefahr für die Allgemeinheit dar. Versuche seitens Microsoft haben gezeigt, dass ein PC, der mit dem Schädling W32/Harnig infiziert wird, bereits nach fünf Minuten nicht nur die Rustock-Malware beherbergt sondern auch einen bunten Strauß weiterer Schädlinge. Viele davon sind zudem dafür bekannt ihrerseits noch mehr Malware auf den PC zu laden. Jeder infizierte Rechner kann der Verbreitung von Spam und Malware dienen.
Deshalb ist es wichtig, dass auf Windows-Rechnern das automatische Windows Update aktiviert und aktuelle Antivirus-Software installiert ist. In Entwicklungs- und Schwellenländern, wo der Anteil installierter Windows-Raubkopien recht hoch ist, bleibt Windows Update offenbar häufiger abgeschaltet als etwa hierzulande.
